来聊聊托管服务提供商(MSP)安全
纵观各个中小型企业,由于预算十分有限而且系统环境的满载,如今它们往往需要依赖托管服务提供商(managed service providers,MSP)来支持其 IT 服务与流程。而由于 MSP 提供的解决方案可以与客户端基础设施相集成,因此可以实现适当的服务交付。当然,在提供优异功能的同时,它们也会伴随着一些缺点。下面,我将主要围绕着 MSP 网络安全性的挑战和实践,和您深入探讨如下方面:
为什么应当关注 MSP 的网络安全性
最需要应对哪些安全威胁
如何保护自己的基础设施和客户的数据,免受可能出现的故障影响
一、MSP 安全的重要性
由于托管服务提供商(MSP)通常可以连接到多个客户端的环境,因此他们往往成为了黑客的理想目标。各种快速迭代的网络攻击,以及广泛传播的态势,势必会给 MSP、及其服务的组织带来难以估量的安全风险。可以说,MSP 解决方案中的单个漏洞,很可能成为导致众多基础架构出现故障的根本原因,进而导致数据的大量泄漏或丢失。此外,由此产生的严重违规罚款,也可能给 MSP 乃至用户企业带来巨大的经济损失、以及声誉损失。
二、MSP 网络安全的主要威胁
虽然 MSP 可能面对的在线网络安全威胁类型数不胜数,但是其中有一些比较典型、且更为频繁。下面,我将罗列出最为常见的 MSP 系统安全威胁:
网络钓鱼
网络钓鱼可以被认为是一种过时的网络攻击方法,尤其是当您已了解了黑客们的时髦攻击方式后。然而,网络钓鱼目前仍然是全球范围内,个人和组织所面临的首要数据威胁之一。毕竟,网络钓鱼电子邮件很容易被构建,并被发送给数以千计的潜在受害者,其中就包括 MSP。相对于那些需要黑客单独创建的、有针对性的电子邮件欺骗攻击而言,网络钓鱼的实施成本更低,而波及面更广。
勒索软件
据统计,勒索软件每年都会制造数亿次攻击。它们可谓近十年来,中小型企业和组织所面临的最新、也是最大的威胁。作为一种恶意软件,勒索软件会偷偷地渗透到组织的环境中,然后对它能接触到的所有数据开启加密模式。而在大量文件被加密之后,勒索软件会在用户点击文件时,展示其索取赎金的弹窗。去年发生在美国的燃油管道公司遭受勒索攻击的事件,就属于此类。由于 MSP 和客户端之间的连接可能会导致此类攻击被快速传播和放大,因此托管服务提供商必须特别注意这种攻击对于全局数据的严重威胁。
拒绝服务(Denial of Service,DoS)攻击
拒绝服务和分布式拒绝服务(Distributed Denial of Service,DDoS)攻击也是自上世纪 90 年代中期以来,被广泛使用的“老派”、简单且有效的黑客策略。此类攻击的重点是对组织的基础设施(网站、网络、以及数据中心等)产生异常负载,从而导致系统出现中断,服务响应不及时,远程操作不便,进而给组织带来财务和声誉上的损失。
从实现方式上说,DoS 攻击是通过使用被黑客控制的设备(或僵尸网络)来实现的。这些设备会将大量数据发送到目标组织的某个节点上,并导致其处理性能和/或可用带宽的过载。同样地,MSP 一旦遭遇到 DoS 攻击,势必会传导到客户端环境中,并导致其系统服务层面上的失能。
中间人(Man-in-the-Middle,MITM)攻击
这种类型的网络威胁比起对于基础设施的直接攻击,更加棘手、也更加复杂。中间人攻击主要源自针对网络路由器或计算机的黑客入侵。其目的是拦截流量。通常,在恶意软件成功入侵目标后,黑客可以监控流经受感染节点的数据流,以窃取诸如:个人信息、密码凭据、支付卡信息等敏感数据。当然,它也可能是一种针对企业的间谍活动,以达到盗窃商业策略和秘密的目的。
常见的中间人攻击往往发生在安全保护级别较低的公共 Wi-Fi 网络中。黑客能够轻而易举地从粗心的、未经加密的用户流量中,窃取重要的数据,进而转售牟利。
加密劫持(Cryptojacking)
加密劫持是一种相对较新的网络威胁类型,是随着加密货币挖矿热潮而出现的。为了增加加密货币挖矿的利润,网络犯罪分子设法采用恶意代理入侵目标计算机,然后使用其 CPU 和/或 GPU 的处理能力挖掘加密货币,进而将其收益直接转移到匿名钱包之中。由于在整个过程中,他们无需为挖矿设备支付电费,因此网络犯罪分子往往可以从中获得更高的利润。
由于 MSP 通常是多个组织网络的汇聚访问点,各种服务器和其他计算设备都会使用到它,因此 MSP 同样是加密劫持者的理想目标。一旦得手,他们就能够获取更多可以被用于加密劫持的大量资源。
三、MSP 组织应采用的 8 种网络安全实践
下面,我将向您介绍 8 种可有效降低风险的 MSP 网络安全实践。
针对凭据泄露予以防范
作为第一步,为了适当地构建安全系统,托管服务提供商应当为易受攻击的节点提供加固的远程访问方式与工具,并防范其信任凭据遭受破坏或窃取。同时,应考虑为连接用户的 Web、APP 等服务器的远程桌面(RDP)服务,设置标准化的保护措施,以减少网络钓鱼、密码暴力破解等攻击的影响。此外,我们也应为支撑用户生产环境的应用提供定期的系统级扫描,以查找并及时弥补潜在的漏洞。
网络安全意识
世界经济论坛(World Economic Forum)的一份全球风险报告指出:截至 2022 年,95%的网络安全问题都牵涉到人为错误。可以说,毫无安全意识的员工或用户,是数字环境中最大的威胁之一。
因此,我们需要通过安全意识的灌输,确保普通员工、以及系统管理员知晓哪些电子邮件不能打开,哪些链接不能点击,以及无论出于何种原因,都不能随意提供哪些信任凭据。可以说,与各种昂贵的网络安全保护措施和解决方案相比,员工安全意识教育是投资少、见效快的网络系统“软防火墙”。它往往对于前文提到的网络钓鱼威胁等非常见效。
反恶意软件和反勒索软件
托管服务提供商是客户的第一道防线,为了防止恶意软件渗入其 IT 环境,进而利用系统寻找恶意代理,我们需要将专业的跟踪恶意软件和勒索软件的工具,集成到 MSP 网络中,且保持其持续更新。当然,有时候,此类软件的购置与维护费用并不便宜。不过,鉴于安全数据、生产环境的可用性、以及全球 IT 系统的稳定性等方面,我们还是又必要进行投入的。
网络分离
与任何中小型企业(SMB)类似,MSP 也应该像关注外部边界那样,去关注其内部的网络安全。通过配置内部防火墙,分隔出不同部门的虚拟空间,可以在一定程度上,防范组织内部恶意行为者的横向穿越。此外,即使内部防火墙无法立即阻止它们,那些威胁检测系统也能够让提供商有更多的时间做出反应,并成功地应对各类内部越权行为。
彻底的移除流程
为了确保稳定的生产环境和适当的性能交付,MSP 时常需要更新换代其正在运行的第三方软件。每当由于工作流的优化等原因,导致某套方案不再被使用时,我们应当及时将其从提供服务的环境中移除。而且,为了避免其留下未被发现的后门,我们必须设置相应的卸载流程,使得与之相关的元素能够彻底从原有的基础架构中,被完全清除。类似的处置方式,也适用于那些前雇员账户。
零信任和最小特权原则
零信任和最小特权原则(principle of least privilege,PoLP)是如今 MSP 常用的两种网络安全方法。它们都可以被用来最大限度地限制对于关键数据和系统元素的访问。其中:
PoLP 规定了只授予环境中的每个用户做好本职工作所需的访问权限。换句话说,我们应该在不降低员工效率或客户舒适度的情况下,禁止任何访问。
零信任方法则侧重于授权。也就是说,每个用户和机器都必须在访问已知资源和操作之前进行身份验证。此外,零信任也有助于提高网络分段的效率。
这两种方法并非相互排斥或可替代,而是完全可以被同时使用,以进一步提升 MSP 网络安全。
多重身份验证
双因素身份验证(Two-factor authentication,2FA)要求用户使用短信验证码、或其他授权短语来确认登录,然后才能使用其帐户更改数据或操作其他功能。由于附加码是在登录时随机生成的,因此黑客很难在有限的关联期内,及时检索和获取。因此,向 MSP 基础架构添加双因素身份验证,可以加强对整个服务环境的保护,避免用户的帐户和数据遭受未经授权的访问。
持续威胁监控
目前,随着威胁的不断迭代,内外部攻击不但变得越来越复杂,而且越来越能够有效地突破 MSP 的安全防护层。因此,24/7 全天候的主动监控环境,可以帮助我们在违规发生或由漏洞导致的无法修复之前,及时检测到它们。借助最新的监控软件,您可以更好地控制由 MSP 提供的 IT 环境,并有更多的时间对网络攻击做出适当的反应。
MSP 的备份
一个不争的事实是,随着网络威胁的不间断发展,黑客攻破我们的安全系统,其实只是时间问题。那么在发生了重大数据丢失事件后,唯一可能帮助我们找回丢失的企业数据和基础架构配置的方法,就是备份。为了确保组织能够尽快地恢复正常运作,我们有必要将手动与自动化的备份方式相结合,及时生成针对由 MSP 平台产生的大数据量的、独立存储的数据副本,以应对不同场景造成的、主站点上的原始数据被破坏或丢失的紧急情况。
四、小结
在目前、以及不久的将来,托管服务提供商仍将继续成为网络钓鱼、DoS 攻击、勒索软件感染、以及加密货币劫持等网络攻击的理想目标。希望上述讨论以及给出的针对 MSP 网络威胁的 8 种安全实践,能够为您的日常业务和服务提供保驾护航。
版权声明: 本文为 InfoQ 作者【树上有只程序猿】的原创文章。
原文链接:【http://xie.infoq.cn/article/cb05de4f35002c70f97769ba9】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论